#SuidCheckExclude=/net/localhost

# так как проверка SUID/SGID – дело накладное, то можно ограничить количество проверяемых файлов в секунду (files per seconds)

SuidCheckFps=250

На все первоначально найденные SUID/SGID-файлы будут выведены примерно такие сообщения:

DEBUG  :  [2004-03-21T19:49:44+0200] msg=<Found suid/sgid file> path=</sbin/unix2_chkpwd>

AA40D4C2B0315251851C50CC3843965A596A64F5E8E2BB48

А если найдутся новые, то программа начнет нервничать и сообщит администратору о находке.

n  --with-kcheck – (по умолчанию – нет) проверка системы на наличие kernel rootkit загружаемых при помощи LKM (loadable kernel module). Хочется напомнить, что отказ от поддержки модулей в ядре, не устраняет их модификацию через /dev/kmem. Для GNU/Linux требуется указать место расположение файла System.map (обычно строка выглядит так: --with-check=/boot/System.map), для FreeBSD этого не требуется. Для конфигурирования добавляем секцию Kernel:

[Kernel] 

# включение/выключение проверок (0 – off, 1 – on)

KernelCheckActive=1

# интервал между проверками в секундах (по умолчанию 300)

KernelCheckInterval=20

# проверка interrupt descriptor table (по умолчанию TRUE)

KernelCheckIDT=TRUE

# серьезность события

SeverityKernel=crit

n  --enable-install-name=samhain|yule – очень интересная опция, позволяющая дать другое произвольное, не вызывающее подозрений имя, с которым и скомпилировать программу, при этом оно будет автоматически заменено во всех скриптах. Это позволит скрыть наличие в системе этой утилиты. При компиляции samhain в среде клиент|сервер без использования этой опции имя samhain|yule будет дано автоматически.

n  --enable-khide=System.map (только для Linux) компилирует и устанавливает два модуля ядра: samhain_hide.o и samhain_erase.o. Модуль samhain_hide.o спрячет файлы, каталоги и процессы с именем, указанным в опции --enable-install-name=NAME или если такая опция не используется, то по умолчанию принимается samhain. Второй, samhain_erase.o, предназначен для скрытия самих модулей.

n  --enable-mounts-check – модуль, написанный Computer Incident Response Team, позволяет контролировать правильность опций монтирования файловых систем. Этот модуль в настоящее время поддерживает Linux, Solaris и FreeBSD. Требует секции Mounts для настройки:

[Mounts]

# включение/выключение проверок (0 – off, 1 – on)

MountCheckActive=1

# интервал между проверками в секундах

MountCheckInterval=7200

# серьезность события, отслеживается правильность монтирования и корректность опции монтирования